В гостях у девятнадцатого выпуска подкаста «Сушите вёсла» — руководитель продукта The Standoff компании Positive Technologies Ярослав Бабин. Говорили о Bug Bounty — программе, которая предлагает вознаграждение за нахождение уязвимостей, — вопросе национальной безопасности и о том, берут ли спецслужбы на работу пойманных хакеров.


«Сушите вёсла» — подкаст про разработку, аналитику, тестирование и всё, что связано с созданием ИТ-продуктов. Авторы — ведущий android- разработчик red_mad_robot Рома Чорыев и разработчик Артём Кулаков.

Слушайте весь выпуск по ссылке или читайте короткую выжимку — ответы на шесть главных вопросов эпизода.

Тайминг

02:32 — как Ярослав попал в сферу информационной безопасности
07:00 — зачем идут в хакеры и как выбирают шляпу
09:30 — чем отличаются белые хакеры от черных
17:50 — о конференции Positive Hack Days
20:05 — что такое Bug Bounty и как она появилось
22:40 — какие есть платформы и в чём между ними разница
27:30 — как происходит взаимодействие между хакером и компанией на уровне платформы
30:05 — как с деньгами обстоит вопрос
40:02 — «Великий исход» зарубежных платформ. Что произошло и что делать дальше
42:00 — российские Bug Bounty платформы: какие есть, какие будут, какая планируется аудитория
50:04 — как всё устроено: кто оценивает адекватность отчётов, приватные программы, рейтинг, мерч
55:02 — чем будет платить русское Bug Bounty: рубли, юани, биткоин?
56:10 — с чего начать путь с Bug Bounty — личный пример гостя

Как попасть в сферу информационной безопасности

Наш гость рассказал, что увлекается информационной безопасностью с детства: в седьмом классе наткнулся на статью об эксплуатации SQL-инъекций, увлёкся, начал изучать. Потом стал писать на Python и уже примерно понимал, как происходят атаки на веб-приложения. Так и выбрал профессию.

В 2015 году я попал в Positive Technologies на исследователя безопасности банковских систем, позже стал руководить всем Application Security. В декабре 2021 года перешёл на должность CPO продукта The Standoff — это киберпространство для специалистов по информационной безопасности. Мы делаем так, чтобы навыки хакеров, исследователей по информационной безопасности, CTF улучшали индустрию.

Ярослав Бабин, руководитель продукта The Standoff компании Positive Technologies

От чего зависит «цвет шляпы» хакера

С разных точек зрения один хакер может быть и «черным», и «белым» — зависит от того, кто его оценивает. Но нашему гостю не близко бинарное деление на условно хороших и плохих. Немного напоминает историю про оружие: вещь, которая работает в контексте того, кто её держит, — и либо помогает, либо вредит.

Скорее всего, это зависит от воспитания и морально-этических ценностей человека — он выбирает культуру, которая ему ближе. Для меня хакер — это человек, который занимается исследованиями, пытается понять, как работает алгоритм или функция. Если судить с этой стороны, то «чёрный» хакер просто использует это ради обогащения, ради цели, которая может показаться обществу плохой. А этичный хакер делает это во благо общества.

Ярослав Бабин, руководитель продукта The Standoff компании Positive Technologies

Есть ли романтический флёр вокруг хакеров и как к этому относятся в индустрии

По мнению Ярослава, СМИ дискредитировали окраску слова «хакер», и теперь оно всегда звучит негативно.

Я уже много времени занимаюсь тем, что пытаюсь вернуть честное название хакера, что это хороший человек, он помогает миру, индустрии становится лучше. Он помогает работать с безопасностью в лице бизнеса или государства.

Ярослав Бабин, руководитель продукта The Standoff компании Positive Technologies

Сейчас существует много тренировочных площадок для хакеров, но по мнению гостя, они все «несколько синтетические». Продукт The Standoff, который выпустила компания Ярослава, — это инфраструктура, созданная на основе реальных объектов, пентестов и понимания того, как работают корпорации и госкомпании.

Что за Bug Bounty и как она появилась

Bug Bounty — это платформа, агрегатор между исследователями по безопасности и компанией, которой интересно усиливать свою безопасность. Компании описывают в своих политиках, чего бы они хотели, чтобы хакеры сделали: посмотрели какой-то сервис, попробовали найти какие-то уязвимости и, например, не использовали такие-то атаки на клиентов и сотрудников. А хакеры изучают эту информацию, смотрят, какое количество денег клиент готов заплатить за ту или иную уязвимость, и либо соглашаются и начинают искать эти уязвимости, либо не соглашаются и ищут другую программу.

Началось это с компании Netscape, которая запустила первую свою Bug Bounty в 2000 году. Индустрия поняла, что есть энтузиасты, которым интересно искать уязвимости. А чтобы эти уязвимости не попадали в руки менее этичных людей, логично сделать публичную программу, куда могли бы приходить исследователи и легально зарабатывать и повышать собственную узнаваемость.

Ярослав Бабин, руководитель продукта The Standoff компании Positive Technologies

Какие самые популярные платформы и в чём между ними разница

Таких платформ около пятнадцати во всем мире, самые известные среди них — HackerOne, Bugcrowd. Есть программы Bug Bounty от определённых клиентов, которые размещаются у себя и не приходят к кому-то на площадку, — например, у «Яндекса» собственная платформа для отправки уязвимостей.

У кого-то может быть legacy: когда-то они сделали эту программу, и она у них до сих пор существует. Бывает, что они приходят на какие-то платформы, потому что платформы нужны для того, чтобы объединить вокруг себя сообщества хакеров. Чем больше хакеров, тем больше ты будешь получать уязвимостей и повышать свою безопасность. Используя свою площадку, о ней нужно постоянно рассказывать — это всякие PR- и маркетинговые активности, дополнительные вложения. Кому-то проще делать так. Зависит от бизнеса компании.

Ярослав Бабин, руководитель продукта The Standoff компании Positive Technologies

Может ли Bug Bounty прокормить хакера

Средние выплаты по платформам находятся в границе 200–400 долларов за уязвимость. Но всё зависит от программы: какой у неё бюджет и сколько она готова потратить на выплату хакерам. Иногда это критичная уязвимость — от неё может быть большой ущерб, поэтому компании за неё платят много. Например, у того же «Яндекса» в расценках написано, что это 750 тысяч рублей. В каких-то бывает намного больше — доходит до 50 тысяч долларов.

Безопасность с каждым годом становится всё важнее: рынок растёт, компании выходят и понимают, что им нужно заниматься своей безопасностью. Поэтому расценки увеличиваются и хакеры могут заниматься лишь Bug Bounty на нескольких площадках и зарабатывать хорошие деньги — 100–300 тысяч долларов в год.

Ярослав Бабин, руководитель продукта The Standoff компании Positive Technologies

Это имидж компании, которая занимается своей безопасностью и следит за тем, чтобы не происходили утечки данных о клиентах и атаки на них. Платформе это выгодно.

Платформа взимает деньги за присутствие на ней и за привлечение хакеров. И получает деньги с комиссии за выплату уязвимостей. Для хакера никаких ограничений нет: просто регистрируется и начинает ломать. У него есть какой-то внутренний рейтинг — с ним повышается доверие клиентов к нему. Его добавляют в какие-то приватные программы, где он может заработать гораздо больше.

Ярослав Бабин, руководитель продукта The Standoff компании Positive Technologies

С чего начать путь в Bug Bounty

Ярослав поделился личным опытом.

В 2015 году я хотел устроиться в Positive Technologies, но понимал, что мне очень не хватает навыков в Offensive Security (как раз в атакующей безопасности) — понимать, как искать уязвимости, как эксплуатировать. И я очень боялся пойти на Bug Bounty, потому что видел никнеймы людей, которые там в «Зале славы» находятся. Это были реально крутые чуваки. Люди из индустрии поймут: это Bo0oM (Антон Лопаницын), Black one. Я боялся попробовать просто зайти на платформу и что-то поискать. И всё же решился и нашёл там первую XSS минут за 20. И в итоге в этом году (в 2015) за три месяца я заработал в районе миллиона рублей. Мне был 21 год. По моим меркам это была огромная сумма. Я понял, что зря боялся, не пришёл на платформу, не попытался найти там какие-то уязвимости. Надо было просто приходить, садиться, включать Burp и начинать искать.

Ярослав Бабин, руководитель продукта The Standoff компании Positive Technologies

Гость добавляет, что стоит попробовать понять, какие навыки нужны хакеру, — изучать специальную литературу и периодику. И идти на платформу.

Я бы рекомендовал начинать с платформы, где присутствует не очень много хакеров и у вас есть конкурентное преимущество перед остальными в попытках поиска. Например, на «Яндексе» не так много специалистов, которые постоянно ищут уязвимости. Видимо, именно поэтому у меня там с самого начала получилось. Пробуйте приходить туда, где не очень много конкуренции.

Ярослав Бабин, руководитель продукта The Standoff компании Positive Technologies


Слушайте нас там, где удобно — MaveAppleGoogle PodcastsЯндекс.Музыка.

Если появились вопросы про поиск уязвимостей, приходите в наш Telegram-чат — ведущие и эксперты всё объясняет и расставят по полочкам. Или просто заходите обсудить выпуск.

Комментарии (0)